Overvågning af det mørke net

Er det mørke net så mørkt?

Det er afgørende for organisationer at overvåge det mørke net og lækkede legitimationsoplysninger for proaktivt at identificere og reagere på potentielle sikkerhedstrusler og -brud. At forstå og analysere hackernes brug af stjålne legitimations oplysninger vil give it- og sikkerhedsledere et forspring, når de skal træffe informerede beslutninger om afhjælpning af trusler, prioritering af sikkerhedsforanstaltninger og implementering af effektive modforanstaltninger.

I takt med at cybertrusler bliver mere avancerede og målrettede, er det mørke net blevet en central arena for kriminelle aktiviteter. Organisationer bør derfor investere i avancerede overvågningsværktøjer, der kan scanne og analysere data fra det mørke net i realtid. Dette inkluderer automatiserede systemer, der kan identificere mønstre og adfærd, som indikerer forestående angreb eller datalæk.

Det er præcis her, at du finder den største værdi ved vores SOC services

Hvad er det mørke web?

Surface web, deep web og dark web adskiller sig ved deres grad af tilgængelighed og anonymitet, hvor dark web er det mest private og sikre. Ofte bruges deep og dark web i flæng, men dark web refererer specifikt til krypterede og anonyme netværk som Tor og I2P. Er det mørke net så mørkt? Det er en blanding af både lovlige og ulovlige aktiviteter, hvor nogle brugere bruger det til legitime formål som sikker og privat kommunikation, mens andre bruger det til cyberkriminalitet.

Det mørke webs anonymitet og kryptering gør det til et attraktivt sted for hackere. Overvågning af markedspladser og fora på det mørke net gør det muligt for sikkerhedsteams at indsamle værdifulde oplysninger, spore trusselsaktører og være på forkant med nye cybertrusler. Det er ikke kun et sted for ulovlige transaktioner, men også en platform for whistleblowere, journalister og aktivister, der ønsker at kommunikere sikkert og anonymt. Denne dualitet gør det mørke net til et komplekst miljø, som kræver nuanceret forståelse og målrettet overvågning.

Markedspladser og fora

Det mørke nets anonymitet og kryptering gør det til et attraktivt sted for hackere. Overvågning af markedspladser og fora på det mørke net gør det muligt for sikkerhedsteams at indsamle værdifulde oplysninger, spore trusselsaktører og være på forkant med nye cybertrusler.

Der findes en række markedspladser og fora på det mørke net, hvoraf nogle er åbne for offentligheden, og andre er platforme kun med invitation, hvor cyberkriminelle diskuterer, køber og sælger stjålne data, malware og andre ulovlige varer og servicetilbud. Initial access brokers spiller en nøglerolle i denne undergrundsøkonomi, hvor de giver cyberkriminelle adgang til kompromitterede systemer, stjålne legitimations oplysninger samt nødvendige værktøjer.

En effektiv overvågning af det mørke net kræver både teknologisk ekspertise og analytisk indsigt. Organisationer bør samarbejde med cybersikkerhedsfirmaer, der har specialiseret sig i trusselsanalyse og dark web intelligence. Disse partnere kan hjælpe med at identificere relevante trusler og vurdere deres potentielle indvirkning på virksomhedens drift og omdømme.

Hvilken slags adgangsinformation købes og sælges?

Almindelige typer af lækkede legitimationsoplysninger omfatter logins til fjernadgang, såsom VPN, cloud- og virksomhedssystemkonti, samt privilegerede adgangskonti såsom administratorkonti. En af de mest værdifulde ting for hackere er data stjålet fra ofre af malware, der stjæler information, ofte kaldet stealer logs, da de indeholder rige data, såsom sessionscookies, som gør det muligt for angribere at omgå MFA på konti.

Andre typer følsomme data der kan findes på det mørke net omfatter finansielle oplysninger, sundhedsjournaler og kundedata, som kan bruges til identitetstyveri og andre ondsindede aktiviteter.

Stjålne legitimationsoplysninger kan koste alt fra et par dollars til tusindvis af euro, afhængigt af adgangsniveauet og typen af konti. Organisationer bør regelmæssigt gennemføre sikkerhedsrevisioner og penetrationstests for at sikre, at deres systemer er robuste over for angreb, der udspringer fra det mørke net. Derudover bør medarbejdere uddannes i cybersikkerhed og awareness, så de kan genkende og reagere på potentielle trusler.

Gennem øjnene på en trusselsaktør

Efter at have købt lækkede legitimations oplysninger fortsætter angriberne med at teste og validere de stjålne logins. De specifikke metoder til validering af stjålne legitimations oplysninger afhænger af flere forhold, f.eks. hvor sofistikerede angriberne er, og hvilken type konti der er tale om. For eksempel vil stjålne legitimations oplysninger fra streaming- og underholdningstjenester blive kontrolleret på en automatiseret måde ved hjælp af brute forcing og credential stuffing. Hvorimod holdningen til stjålne legitimationsoplysninger til virksomhedssystemer vil være mere forsigtig, hvor angribere vil tjekke gyldigheden uden at forsøge at slå alarm.

Når angriberne har fået fodfæste i ofrenes systemer, vil de forsøge at bevæge sig sidelæns og opnå vedholdenhed i det kompromitterede netværk. Ofte vil de første adgangsmæglere enten blive solgt til højestbydende eller brugt i ransomware- og afpresningsangreb.

Det mørke net udvikler sig konstant, og nye trusselsaktører og teknikker opstår løbende. Derfor er det vigtigt at have en dynamisk og adaptiv tilgang til overvågning, hvor data fra det mørke net integreres med øvrige sikkerhedssystemer og analyseres i kontekst.

Forberedelse på truslen

Overvågning og indsamling af oplysninger fra det mørke net gør det muligt for organisationer at identificere potentielle trusler, såsom lækkede legitimationsoplysninger og salg af adgang, og giver dem mulighed for at tage proaktive skridt for at forhindre cybertrusler og minimere risici, samtidig med at de sikrer overholdelse af internationale og regionale regler såsom NIS2 og GDPR.

Læs mere om det mørke net – the dark web her